Программы-вымогатели: AlumniLocker и Humble
Две недавно обнаруженные формы программ-вымогателей с очень разными характеристиками показывают, насколько разнообразным стал мир программ-вымогателей по мере того, как все больше киберпреступников пытаются присоединиться к кибер-вымогательству.
Две недавно обнаруженные формы программ-вымогателей с очень разными характеристиками показывают, насколько разнообразным стал мир программ-вымогателей по мере того, как все больше киберпреступников пытаются присоединиться к кибер-вымогательству.
Обе формы программ- вымогателей появились в феврале — AlumniLocker и Humble, при этом две версии пытались вымогать выкуп в биткоинах разными способами.
Программа-вымогатель AlumniLocker
AlumniLocker — это вариант программы- вымогателя Thanos, который сразу же выделяется тем, что требует от зараженной жертвы выплаты 10 биткоинов, в настоящее время эта цифра эквивалентна примерно 450 000 долларов.
Программа-вымогатель доставляется жертвам через вредоносное вложение в формате PDF, которое представляет собой счет-фактуру и распространяется в фишинговых письмах. PDF-файл содержит ссылку, по которой будет извлечен ZIP-архив, который запускает сценарий PowerShell для удаления полезной нагрузки и запуска программы-вымогателя.
Подобно растущему числу кампаний вымогателей, злоумышленники, стоящие за AlumniLocker, угрожают опубликовать данные, украденные из сети их жертвы, если им не заплатят в течение 48 часов, хотя, учитывая, что требования выкупа настолько велики, жертвы могут решить, что выкуп слишком велик.
Амбициозное требование выкупа и другие несоответствия в их методах атаки, в том числе то, что сайт утечки данных на самом деле не работает, могут указывать на то, что те, кто стоит за AlumniLocker, вероятно, только начинают.
Похоже, что это может быть новая группа, у которой нет опыта успешного выкупа своих жертв, поскольку требования выкупа намного выше, чем обычно. То, что сайт утечки не работает, — еще один пример демонстрации своей руки новичков.
Программа-вымогатель Humble
Программа-вымогатель Humble также впервые появилась в феврале, но во многих отношениях она сильно отличается. Во-первых, программа-вымогатель намного меньше по размеру и требует всего 0,0002 биткоина, в настоящее время чуть менее 10 долларов — для возврата файлов, что указывает на то, что Humble может быть нацелен на отдельных лиц, а не на организации.
Пока неизвестно, как именно распространяется Humble, но исследователи отмечают, что это может быть через фишинговые атаки.
Пытаясь подтолкнуть жертв к уплате выкупа, Humble угрожает жертве, заявляя, что если они перезапустят свою систему, основная загрузочная запись (MBR) будет перезаписана, что сделает машину непригодной для использования. Вторая версия Humble несет в себе ту же угрозу, но вместо этого говорит, что это произойдет, если жертва не заплатит через пять дней.
Humble необычен для программ-вымогателей, поскольку они компилируются с исполняемой оболочкой (Bat2Exe) в пакетном файле. Что еще странно, так это то, что он использует Discord — сервис голосовой, текстовой и видеосвязи, популярный среди геймеров, чтобы отправлять отчеты своему автору.
Заключение
Обе формы новых программ-вымогателей необычны, но обе демонстрируют, что программы-вымогатели продолжают привлекать киберпреступников, которые видят, как ведущие банды зарабатывают так много денег, и хотят делать то же самое.
Организации могут помочь защитить себя от атак программ-вымогателей с помощью процедур кибербезопасности, включая применение исправлений и использование многофакторной аутентификации.
